Pourquoi notre cœur est-il en train de saigner ?
Pour des raisons que la décence m’oblige à taire ici. Parce que le discours de politique générale de notre nouveau Premier ministre m’a rappelé les plus belles heures du « socialisme » et parce que — ce n’est pas sans lien — Alain Finkielkraut est immortel. Voilà pour mon cœur. Quant au nôtre ?
Notre cœur, c’est-à-dire le cœur du réseau. Eh bien, si le cœur du réseau saigne, attention je m’accroche, c’est parce qu’un bogue — une erreur de programmation de la part d’un développeur allemand — dans une nouvelle fonctionnalité (Heartbeat) d’un protocole (TLS/DTLS) massivement utilisé pour chiffrer les communications des serveurs — c’est à ce niveau que ça se passe, celui de la couche transport, hors de ma portée à moi simple internaute ; et pourtant sont aussi contenues-là mes informations (identifiants, mots de passe) dont j’ai besoin pour accéder à Google and co. Si le cœur du réseau saigne, c’est donc parce qu’un bogue dans un protocole de chiffrement a créé une énorme faille de sécurité transformant les serveurs Web en véritables passoires. Premier effet, des serveurs dont il devenait possible de lire la mémoire comme dans un livre ouvert à une page au hasard... Deuxième effet, des sites aux certificats d’authentification compromis (quand je voyais une adresse web commencer par httpS au lieu de http j’étais rassuré, ça avait un effet magique, eh bien même ça, c’était faux). Bref, le cauchemar.
Nom de la nouvelle fonctionnalité boguée ? Heartbeat — cœur qui bat. D’où le nom donné à la faille : Hearbleed — cœur qui saigne. Pour qu’un cœur saigne il faut d’abord qu’il batte, à la bonne heure. Il faut reconnaître que ce nom, Heartbleed, parle au cœur. La faille, révélée cette semaine mais qui existe depuis deux ans — ce qui rajoute à l’inquiétude car il est tout à fait probable qu’elle ait été exploitée entre temps, et pas seulement par les services —, a donc un nom, un logo, son site Web, tous créés pour l’occasion par une entreprise spécialisée en sécurité informatique du nom de Codenomicon. Du marketing très utile pour mobiliser la communauté open-source afin de combler la faille de sécurité, corriger le bogue, le « patcher ». D’autres saisissent l’occasion pour insister sur la faiblesse des procédures de vérification dans la communauté — comment un bogue d’une telle gravité a-t-il pu échapper à la vigilance des développeurs ? Cela remet-il en cause la manière dont les standards sont conçus au niveau international, ne faudrait-il pas les repasser dans le giron d’une instance gouvernementale ?
Si Snowden nous a rendu méfiant, Heartbleed, c’est un coup de poignard au cœur de l’architecture de l’Internet ; sur une échelle de 1 à 10, Heartbleed arrive à 11. Ce n’est pas de moi mais de Bruce Schneier, qui fait office de référent suprême en matière de cybersécurité. Heartbleed touchant à OpenSSL mis en œuvre par plus de la moitié (66%, je lis) du Web, ses effets sont encore loin d’être tous connus... Bon je vous rassure, avant de vous précipiter pour changer vos mots de passe, c’est d’abord aux administrateurs des serveurs de corriger la faille : la bonne nouvelle c’est aussi que si votre administrateur utilisait une vieille version d’OpenSSL, il n’a sans doute pas été touché par Heartbleed (la faille étant présente sur les versions d’OpenSSL allant de la 1.0.1 à la 1.0.1f incluse). Comme quoi la lenteur a ses vertus... et l’obsolescence est parfois la meilleure des sécurités (@baroug©).
dropbox spends more on alcohol during its yearly ski trip than OpenSSL has received in donations ever
— Yan (@bcrypt) 16 Avril 2014
Chronique de la Place de la Toile du 12 avril 2014
L’imagerie computationnelle de Nicolas Ayache